FRST Additions Logfile: Code:
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 20.06.2018
durchgeführt von arens (22-06-2018 15:43:36)
Gestartet von C:\Users\Arens\Desktop\Virenbeseitigung 2018
Windows 7 Professional Service Pack 1 (X64) (2016-04-21 12:32:24)
Start-Modus: Normal
==========================================================
==================== Konten: =============================
Administrator (S-1-5-21-1199538668-823670376-2639501773-500 - Administrator - Disabled)
Behrend (S-1-5-21-1199538668-823670376-2639501773-1000 - Administrator - Enabled) => C:\Users\Behrend
Gast (S-1-5-21-1199538668-823670376-2639501773-501 - Limited - Disabled)
==================== Sicherheits-Center ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)
AV: Emsisoft Anti-Malware (Enabled - Up to date) {67773CDD-EA83-AD98-A2ED-386463EB3B0D}
AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
AS: Malwarebytes (Enabled - Up to date) {98619B37-4FC4-67F2-1C99-EEF6D47DBD96}
AS: Emsisoft Anti-Malware (Enabled - Up to date) {DC16DD39-CCB9-A216-985D-0316186C71B0}
AS: Windows Defender (Disabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
==================== Installierte Programme ======================
(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)
Adobe Acrobat Reader DC - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AC0F074E4100}) (Version: 18.011.20040 - Adobe Systems Incorporated)
AnyDesk (HKLM-x32\...\AnyDesk) (Version: ad 4.1.3 - philandro Software GmbH)
EGVP (HKLM-x32\...\{EDA192EA-4DA3-416D-965D-65BFDA0E3715}) (Version: 1.5.3.0 - Governikus KG)
Emsisoft Anti-Malware (HKLM\...\{5502032C-88C1-4303-99FE-B5CBD7684CEA}_is1) (Version: 2018.5 - Emsisoft Ltd.)
Google Chrome (HKLM-x32\...\Google Chrome) (Version: 67.0.3396.87 - Google Inc.)
Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.33.17 - Google Inc.) Hidden
Grundig DigtaSoft (HKLM-x32\...\{1E327954-0713-48A3-AAEF-899307FB65B0}) (Version: 4.7.21 - Grundig Business Systems GmbH)
Intel(R) Driver Update Utility 2.4 (HKLM-x32\...\{B731F5C4-E304-4DFA-9C84-F67FF849B408}) (Version: 2.4.0.15 - Intel) Hidden
Intel(R) Management Engine Components (HKLM\...\{1CEAC85D-2590-4760-800F-8DE5E91F3700}) (Version: 11.0.2.1183 - Intel Corporation)
Intel(R) Network Connections 20.7.67.0 (HKLM\...\PROSetDX) (Version: 20.7.67.0 - Intel)
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 21.20.16.4565 - Intel Corporation)
Intel(R) Product Improvement Program (HKLM-x32\...\{59801D62-FD8D-45AD-865D-6FC80C4C70DF}) (Version: 2.1.26 - Intel) Hidden
Intel(R) Product Improvement Program (HKLM-x32\...\{E954D7C1-36FA-4FE8-8927-97DBDEB5A15F}) (Version: 2.1.27.3 - Intel) Hidden
Intel(R) Update Manager (HKLM-x32\...\{7224B7CE-196C-4E2A-A1AE-1D7BF259FD36}) (Version: 3.4.1942 - Intel Corporation)
Intel(R) USB 3.0 eXtensible Host Controller Driver (HKLM-x32\...\{240C3DDD-C5E9-4029-9DF7-95650D040CF2}) (Version: 4.0.0.36 - Intel Corporation)
Intel® Chipsatz-Gerätesoftware (HKLM-x32\...\{c7f54569-0018-439c-809a-48046a4d4ebc}) (Version: 10.1.1.9 - Intel(R) Corporation) Hidden
Intel® Driver Update Utility (HKLM-x32\...\{1b09c4de-9cae-4122-b17c-65d395062b50}) (Version: 2.4.0.15 - Intel)
Malwarebytes Version 3.5.1.2522 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 3.5.1.2522 - Malwarebytes)
Microsoft .NET Framework 4.7.1 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.7.02558 - Microsoft Corporation)
Microsoft .NET Framework 4.7.1 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.7.02558 - Microsoft Corporation)
Microsoft Office Home and Business 2016 - de-de (HKLM\...\HomeBusinessRetail - de-de) (Version: 16.0.9330.2124 - Microsoft Corporation)
Microsoft OneDrive (HKU\S-1-5-21-1199538668-823670376-2639501773-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-06222018154207034\...\OneDriveSetup.exe) (Version: 17.3.4604.0120 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.21005 (HKLM-x32\...\{90ffcee5-8608-4e94-8c18-a4feb4f83fb8}) (Version: 12.0.21005.1 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.21005 (HKLM-x32\...\{4fcf070a-daac-45e9-a8b0-6850941f7ed8}) (Version: 12.0.21005.1 - Microsoft Corporation)
NoRA Advanced (HKLM-x32\...\NoRA Advanced_is1) (Version: 1.0 - )
Office 16 Click-to-Run Extensibility Component (HKLM-x32\...\{90160000-008C-0000-0000-0000000FF1CE}) (Version: 16.0.9330.2124 - Microsoft Corporation) Hidden
Office 16 Click-to-Run Extensibility Component 64-bit Registration (HKLM\...\{90160000-00DD-0000-1000-0000000FF1CE}) (Version: 16.0.9330.2124 - Microsoft Corporation) Hidden
Office 16 Click-to-Run Licensing Component (HKLM\...\{90160000-008F-0000-1000-0000000FF1CE}) (Version: 16.0.9330.2124 - Microsoft Corporation) Hidden
Office 16 Click-to-Run Localization Component (HKLM-x32\...\{90160000-008C-0407-0000-0000000FF1CE}) (Version: 16.0.9330.2124 - Microsoft Corporation) Hidden
Pervasive PSQL v10 SP3 Client (32-bit) (HKLM-x32\...\{0A3238D7-AA32-1030-B717-F3E3F18B4A8C}) (Version: 10.30.024 - Pervasive Software) Hidden
Pervasive PSQL v10 SP3 Client (32-bit) (HKLM-x32\...\Pervasive PSQL v10 SP3 Client (32-bit)) (Version: 10.30.024 - Pervasive Software)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.7730 - Realtek Semiconductor Corp.)
Samsung Magician (HKLM-x32\...\{29AE3F9F-7158-4ca7-B1ED-28A73ECDB215}_is1) (Version: 4.9.5 - Samsung Electronics)
TeamViewer 11 (HKLM-x32\...\TeamViewer) (Version: 11.0.93231 - TeamViewer)
VirtualCloneDrive (HKLM-x32\...\VirtualCloneDrive) (Version: - Elaborate Bytes)
VirusTotal Uploader 2.2 (HKLM-x32\...\VTUploader) (Version: - )
Vulkan Run Time Libraries 1.0.33.0 (HKLM\...\VulkanRT1.0.33.0) (Version: 1.0.33.0 - LunarG, Inc.)
Windows Small Business Server 2008 ClientAgent (HKLM\...\{E4FF4DF1-F99C-49AC-B398-BE0887432846}) (Version: 6.0.5601.6 - Microsoft Corporation)
Windows Small Business Server 2008 Desktop Links Gadget (HKLM\...\{F5E5D7CA-0F94-41A3-8106-66473C2F3728}) (Version: 6.0.5601.6 - Microsoft Corporation)
Windows-Treiberpaket - Grundig Business Systems GmbH (UacCtl2) USB (12/19/2006 2.0.3.3) (HKLM\...\CC5DAECF4951DEA284D78F429720CB8E8C2E057D) (Version: 12/19/2006 2.0.3.3 - Grundig Business Systems GmbH)
==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Keine Datei
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Keine Datei
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Keine Datei
ContextMenuHandlers1: [VirtualCloneDrive] -> {B7056B8E-4F99-44f8-8CBD-282390FE5428} => C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\ElbyVCDShell.dll [2009-12-14] (Elaborate Bytes AG)
ContextMenuHandlers2-x32: [Emsisoft Shell Extension] -> {AB77609F-2178-4E6F-9C4B-44AC179D937A} => C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\A2CONTMENU.DLL [2015-10-21] (Emsisoft Ltd)
ContextMenuHandlers2-x32: [Emsisoft Shell Extension x64] -> {E3F21FC7-6D65-48E7-B62B-E9ED8200C764} => C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\A2CONTMENU64.DLL [2015-10-21] (Emsisoft Ltd)
ContextMenuHandlers2-x32: [VirtualCloneDrive] -> {B7056B8E-4F99-44f8-8CBD-282390FE5428} => C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\ElbyVCDShell.dll [2009-12-14] (Elaborate Bytes AG)
ContextMenuHandlers3-x32: [Emsisoft Shell Extension] -> {AB77609F-2178-4E6F-9C4B-44AC179D937A} => C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\A2CONTMENU.DLL [2015-10-21] (Emsisoft Ltd)
ContextMenuHandlers3-x32: [Emsisoft Shell Extension x64] -> {E3F21FC7-6D65-48E7-B62B-E9ED8200C764} => C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\A2CONTMENU64.DLL [2015-10-21] (Emsisoft Ltd)
ContextMenuHandlers3-x32: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2018-05-09] (Malwarebytes)
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Keine Datei
ContextMenuHandlers5: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} => C:\Windows\system32\igfxDTCM.dll [2016-12-14] (Intel Corporation)
ContextMenuHandlers6-x32: [Emsisoft Shell Extension] -> {AB77609F-2178-4E6F-9C4B-44AC179D937A} => C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\A2CONTMENU.DLL [2015-10-21] (Emsisoft Ltd)
ContextMenuHandlers6-x32: [Emsisoft Shell Extension x64] -> {E3F21FC7-6D65-48E7-B62B-E9ED8200C764} => C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\A2CONTMENU64.DLL [2015-10-21] (Emsisoft Ltd)
ContextMenuHandlers6-x32: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2018-05-09] (Malwarebytes)
==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
Task: {1DCA0CA5-03F1-4A1E-9B07-E85B4AFD2231} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2016-04-21] (Google Inc.)
Task: {203BC25A-E369-46FF-88A4-936EE7E589B0} - System32\Tasks\Intel PTT EK Recertification => C:\Program Files\Intel\iCLS Client\IntelPTTEKRecertification.exe [2016-01-14] (Intel(R) Corporation)
Task: {3AC3EB72-3FCC-475D-8DCD-98C39E4DDC4F} - System32\Tasks\Intel\Intel Telemetry 2 (x86) => C:\Program Files (x86)\Intel\Telemetry 2.0\lrio.exe [2016-03-17] (Intel Corporation)
Task: {4D746001-F52C-4EA7-B55B-8DC459420719} - System32\Tasks\SamsungMagician => C:\Program Files (x86)\Samsung\Samsung Magician\Samsung Magician.exe [2016-01-07] (Samsung Electronics.)
Task: {578289D4-CB7C-468C-8218-629D2579A814} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2018-02-09] (Adobe Systems Incorporated)
Task: {682CABF8-1CA0-4BF9-8B6B-7695DABA8BED} - System32\Tasks\Microsoft\Office\OfficeBackgroundTaskHandlerRegistration => C:\Program Files (x86)\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe [2018-06-18] (Microsoft Corporation)
Task: {85AE9767-0114-4802-B6FE-2224AE5844B2} - System32\Tasks\Microsoft\Office\Office Automatic Updates 2.0 => C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe [2018-06-12] (Microsoft Corporation)
Task: {A544BB77-5B2B-4165-9E97-8092905BFB8B} - System32\Tasks\Microsoft\Office\OfficeOsfInstaller => C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesCommonX86\Microsoft Shared\Office16\osfinstaller.exe [2018-06-18] (Microsoft Corporation)
Task: {AB867839-8196-4CAE-9EF0-690C3BFB160F} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2016-04-21] (Google Inc.)
Task: {B22282B1-D928-453F-A15D-9FD8EE4E80B2} - System32\Tasks\USER_ESRV_SVC_WILLAMETTE => "C:\Windows\System32\Wscript.exe" //B //NoLogo "C:\Program Files\Intel\SUR\WILLAMETTE\ESRV\task.vbs"
Task: {D9F27990-B927-4E5B-927C-D3D9EB391E79} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe [2016-08-12] (Intel Corporation)
Task: {EAFBE62D-5559-49A3-B5F8-C2E492C915F9} - System32\Tasks\Microsoft\Office\OfficeBackgroundTaskHandlerLogon => C:\Program Files (x86)\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe [2018-06-18] (Microsoft Corporation)
Task: {F52006EE-8FF4-442C-B5AD-02722D924376} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473-Logon => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe [2016-08-12] (Intel Corporation)
Task: {FD29906E-290C-4DAE-96CF-8AD00D4C4E26} - System32\Tasks\Microsoft\Office\Office ClickToRun Service Monitor => C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe [2018-06-12] (Microsoft Corporation)
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)
==================== Verknüpfungen & WMI ========================
(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)
==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============
2018-06-20 15:49 - 2018-06-20 15:06 - 002057928 _____ () C:\Program Files (x86)\AnyDesk\AnyDesk.exe
2016-04-28 16:51 - 2003-04-18 18:06 - 000008192 _____ () c:\EDVSupport\srvany.exe
2016-03-09 20:43 - 2016-03-09 20:43 - 000118424 _____ () C:\Program Files (x86)\Intel Driver Update Utility\SUR\SurSvc.exe
2016-04-28 16:51 - 2016-03-21 22:23 - 000300496 _____ () C:\EDVSupport\AIDA\aida_rcs.dll
2018-06-19 23:14 - 2018-04-25 13:16 - 002297040 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\SelfProtectionSdk.dll
2018-06-19 23:14 - 2018-05-30 09:22 - 002493648 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\MwacLib.dll
2016-02-11 17:47 - 2016-02-11 17:47 - 001243936 _____ () C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\ACE.dll
==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)
AlternateDataStreams: C:\ProgramData\TEMP:325897EF [184]
==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\19681102.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\19681102.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)
==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)
==================== Hosts Inhalt: ===============================
(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)
2009-07-14 04:34 - 2009-06-10 23:00 - 000000824 _____ C:\Windows\system32\Drivers\etc\hosts
==================== Andere Bereiche ============================
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
HKU\S-1-5-21-1199538668-823670376-2639501773-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-06222018154207034\Control Panel\Desktop\\Wallpaper -> C:\Users\Behrend\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
HKU\S-1-5-21-880272329-3864834468-2457634047-1142-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-06222018154207075\Control Panel\Desktop\\Wallpaper -> C:\Users\admin\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
HKU\S-1-5-21-880272329-3864834468-2457634047-1197-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-06222018154207111\Control Panel\Desktop\\Wallpaper -> C:\Users\Behrend.WCB\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
HKU\S-1-5-21-880272329-3864834468-2457634047-1206\Control Panel\Desktop\\Wallpaper -> C:\Users\Arens\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
HKU\S-1-5-21-880272329-3864834468-2457634047-1206-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-06222018154207181\Control Panel\Desktop\\Wallpaper -> C:\Users\Arens\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
HKU\S-1-5-21-880272329-3864834468-2457634047-1207-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-06222018154207456\Control Panel\Desktop\\Wallpaper -> C:\Users\greife\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.82.2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)
Windows Firewall ist aktiviert.
==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==
MSCONFIG\startupreg: USB3MON => "C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe"
==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [{1685E8A7-FCB9-4A1D-9EFF-3AEC3DD11342}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe
FirewallRules: [{19145C5B-7366-4C3A-874C-B9C3688C2EC9}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe
FirewallRules: [{B4754727-047B-4EDC-967A-BED86D924745}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe
FirewallRules: [{9AD40415-1496-475F-ADCB-C5BE1BEBEA46}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe
FirewallRules: [{CAB0F7FB-FC42-4040-A168-719159FE480E}] => (Allow) C:\Users\Behrend\AppData\Local\Microsoft\OneDrive\OneDrive.exe
FirewallRules: [{D6A07253-E12C-4A45-AB08-5CEA3295951C}] => (Allow) C:\EDVSupport\AIDA\aida64.exe
FirewallRules: [{9163D93D-157A-4319-B9FF-5AF24E91C5D7}] => (Allow) C:\EDVSupport\AIDA\aida64.exe
FirewallRules: [{BB67C839-1C0E-450E-8A94-2EEC39FB054E}] => (Allow) C:\EDVSupport\AIDA\aida_rcs.dll
FirewallRules: [{D5CBEFF2-149C-4BE7-9D0D-AD21A0DECDE7}] => (Allow) C:\EDVSupport\AIDA\aida_rcs.dll
FirewallRules: [{C2B61B66-B77A-464D-A968-944063DADBA2}] => (Allow) C:\Users\Arens\Downloads\AnyDesk.exe
FirewallRules: [{A82022EC-455C-4612-B050-FB9B717CFE87}] => (Allow) C:\Users\Arens\Downloads\AnyDesk.exe
FirewallRules: [{05CC75F2-A34F-4FB9-BCCC-778DECDB6CF4}] => (Allow) C:\Users\Arens\Downloads\AnyDesk.exe
FirewallRules: [{942D66B1-3BD5-40C3-AEDF-2AE8594DDF2C}] => (Allow) C:\Users\Arens\Downloads\AnyDesk.exe
FirewallRules: [{25DDF2C9-37C1-44CF-A581-3788C829FF3A}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\outlook.exe
FirewallRules: [{25C22097-D5A8-4F2C-AF31-A70E2D86675C}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe
FirewallRules: [{E66D803E-6A9D-4BFD-A560-E29620ECCD8A}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe
FirewallRules: [{BB7CDF7B-ACCB-4F88-9045-A694C0679C76}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe
FirewallRules: [{00C2CB98-6879-4807-805C-735809E3E0BC}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe
FirewallRules: [{A9738C9C-E997-4B91-9422-71A0C8E61FAC}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
FirewallRules: [{640F00B4-DCF4-4F37-9613-89907FB89329}] => (Allow) C:\Users\Arens\Downloads\AnyDesk (2).exe
FirewallRules: [{1A8426A2-9ABB-4753-B50A-ABD1D55A4F9E}] => (Allow) C:\Users\Arens\Downloads\AnyDesk (2).exe
FirewallRules: [{D6193BA6-0D70-4DAE-8A0B-3D9CB888CDD2}] => (Allow) C:\Users\Arens\Downloads\AnyDesk (2).exe
FirewallRules: [{39DEA04A-5816-4051-8FCA-71E0DFC911FC}] => (Allow) C:\Users\Arens\Downloads\AnyDesk (2).exe
FirewallRules: [{462559CF-C907-44FB-B2C5-4CB8EFAFC3F3}] => (Allow) C:\Users\Arens\Downloads\AnyDesk (3).exe
FirewallRules: [{2A712A11-EEE7-4EDF-BFA7-F653EBB95948}] => (Allow) C:\Users\Arens\Downloads\AnyDesk (3).exe
FirewallRules: [{A083D2CD-2E8F-4B8E-899A-6F9E62CE9A3D}] => (Allow) C:\Users\Arens\Downloads\AnyDesk (3).exe
FirewallRules: [{DD52969C-7C6B-4F46-A369-1365FA162485}] => (Allow) C:\Users\Arens\Downloads\AnyDesk (3).exe
FirewallRules: [{277D6CC9-FA9B-4077-AA91-623D5F1EA52D}] => (Allow) C:\Users\Arens\Downloads\AnyDesk (1).exe
FirewallRules: [{8651A17A-0B4B-4BA9-8647-6D55BC675A45}] => (Allow) C:\Users\Arens\Downloads\AnyDesk (1).exe
FirewallRules: [{DDCCE598-16C2-4F6F-82A6-184FF4F39054}] => (Allow) C:\Users\Arens\Downloads\AnyDesk (1).exe
FirewallRules: [{4BFE476F-954B-41E9-87BD-6986862F483D}] => (Allow) C:\Users\Arens\Downloads\AnyDesk (1).exe
FirewallRules: [{EF9BE382-504D-49DF-BEFE-90777CCEC104}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe
FirewallRules: [{0F0379DF-4FA7-4356-8B55-FE3017D6F70D}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe
FirewallRules: [{B672FBEC-8C42-4C12-BB2D-C0AC35099CDA}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe
FirewallRules: [{C683E937-6F18-4D47-9DF3-779D87C15CD8}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe
FirewallRules: [{B5AA452C-E80B-412D-AE39-96DBDC4AC54A}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe
FirewallRules: [{380671CD-F470-4828-86DF-66D1B3287A0D}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe
==================== Wiederherstellungspunkte =========================
19-06-2018 22:46:41 Windows Update
19-06-2018 23:01:23 Windows Update
20-06-2018 15:03:58 Malwarebytes Anti-Rootkit Restore Point
22-06-2018 02:49:43 Windows Update
22-06-2018 03:15:57 Windows Update
==================== Fehlerhafte Geräte im Gerätemanager =============
Name: Microsoft PS/2-Maus
Description: Microsoft PS/2-Maus
Class Guid: {4d36e96f-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: i8042prt
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.
Name: Standardtastatur (PS/2)
Description: Standardtastatur (PS/2)
Class Guid: {4d36e96b-e325-11ce-bfc1-08002be10318}
Manufacturer: (Standardtastaturen)
Service: i8042prt
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.
==================== Fehlereinträge in der Ereignisanzeige: =========================
Applikationsfehler:
==================
Error: (06/22/2018 09:53:51 AM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3011) (User: NT-AUTORITÄT)
Description: Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst "WmiApRpl" (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
Error: (06/22/2018 09:53:51 AM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3012) (User: NT-AUTORITÄT)
Description: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich.
Error: (06/22/2018 09:53:51 AM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3012) (User: NT-AUTORITÄT)
Description: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich.
Error: (06/22/2018 09:51:39 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
Error: (06/22/2018 09:48:25 AM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3011) (User: NT-AUTORITÄT)
Description: Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst "WmiApRpl" (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
Error: (06/22/2018 09:48:25 AM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3012) (User: NT-AUTORITÄT)
Description: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich.
Error: (06/22/2018 09:48:25 AM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3012) (User: NT-AUTORITÄT)
Description: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich.
Error: (06/22/2018 09:46:01 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.
Systemfehler:
=============
Error: (06/22/2018 12:56:56 PM) (Source: Kerberos) (EventID: 3) (User: )
Description: Eine Kerberos-Fehlermeldung wurde auf
Anmeldesitzung empfangen:
Clientzeit:
Serverzeit: 10:56:56.0000 6/22/2018 Z
Fehlercode: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN
Erweiterter Fehler: 0xc0000035 KLIN(0)
Clientbereich:
Clientname:
Serverbereich: WCB.LOCAL
Servername: MSSQLSvc/hpserver.wcb.local:49665
Zielname: MSSQLSvc/hpserver.wcb.local:49665@WCB.LOCAL
Fehlertext:
Datei: 9
Zeile: fdb
Die Fehlerdaten stehen in den Berichtdaten.
Error: (06/22/2018 11:43:36 AM) (Source: Kerberos) (EventID: 3) (User: )
Description: Eine Kerberos-Fehlermeldung wurde auf
Anmeldesitzung empfangen:
Clientzeit:
Serverzeit: 9:43:36.0000 6/22/2018 Z
Fehlercode: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN
Erweiterter Fehler: 0xc0000035 KLIN(0)
Clientbereich:
Clientname:
Serverbereich: WCB.LOCAL
Servername: MSSQLSvc/hpserver.wcb.local:49665
Zielname: MSSQLSvc/hpserver.wcb.local:49665@WCB.LOCAL
Fehlertext:
Datei: 9
Zeile: fdb
Die Fehlerdaten stehen in den Berichtdaten.
Error: (06/22/2018 09:57:20 AM) (Source: Kerberos) (EventID: 3) (User: )
Description: Eine Kerberos-Fehlermeldung wurde auf
Anmeldesitzung empfangen:
Clientzeit:
Serverzeit: 7:57:20.0000 6/22/2018 Z
Fehlercode: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN
Erweiterter Fehler: 0xc0000035 KLIN(0)
Clientbereich:
Clientname:
Serverbereich: WCB.LOCAL
Servername: MSSQLSvc/HPSERVER.wcb.local:49665
Zielname: MSSQLSvc/HPSERVER.wcb.local:49665@WCB.LOCAL
Fehlertext:
Datei: 9
Zeile: fdb
Die Fehlerdaten stehen in den Berichtdaten.
Error: (06/22/2018 09:56:14 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "User Energy Server Service WILLAMETTE" wurde mit folgendem Fehler beendet:
%%268439640
Error: (06/22/2018 09:52:50 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "User Energy Server Service WILLAMETTE" wurde mit folgendem Fehler beendet:
%%268439640
Error: (06/22/2018 09:50:42 AM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Start (Lokal) für die COM-Serveranwendung mit CLSID
{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}
und APPID
{344ED43D-D086-4961-86A6-1106F4ACAD9B}
gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.
Error: (06/22/2018 09:47:03 AM) (Source: Kerberos) (EventID: 3) (User: )
Description: Eine Kerberos-Fehlermeldung wurde auf
Anmeldesitzung empfangen:
Clientzeit:
Serverzeit: 7:47:3.0000 6/22/2018 Z
Fehlercode: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN
Erweiterter Fehler: 0xc0000035 KLIN(0)
Clientbereich:
Clientname:
Serverbereich: WCB.LOCAL
Servername: MSSQLSvc/HPSERVER.wcb.local:49665
Zielname: MSSQLSvc/HPSERVER.wcb.local:49665@WCB.LOCAL
Fehlertext:
Datei: 9
Zeile: fdb
Die Fehlerdaten stehen in den Berichtdaten.
Error: (06/22/2018 09:45:08 AM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Start (Lokal) für die COM-Serveranwendung mit CLSID
{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}
und APPID
{344ED43D-D086-4961-86A6-1106F4ACAD9B}
gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.
CodeIntegrity:
===================================
Date: 2018-06-22 15:20:49.649
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Program Files\Emsisoft Anti-Malware\a2hooks64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2018-06-22 13:48:33.392
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Program Files\Emsisoft Anti-Malware\a2hooks64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2018-06-22 11:44:34.935
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Program Files\Emsisoft Anti-Malware\a2hooks64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2018-06-22 09:57:04.080
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Program Files\Emsisoft Anti-Malware\a2hooks64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2018-06-22 08:28:16.669
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Program Files\Emsisoft Anti-Malware\a2hooks64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2018-06-22 08:12:41.196
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Program Files\Emsisoft Anti-Malware\a2hooks64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2018-06-22 06:01:29.581
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Program Files\Emsisoft Anti-Malware\a2hooks64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2018-06-22 03:04:31.996
Description:
Die Abbildintegrität der Datei "\Device\HarddiskVolume3\Program Files\Emsisoft Anti-Malware\a2hooks64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
==================== Speicherinformationen ===========================
Prozessor: Intel(R) Core(TM) i3-6100 CPU @ 3.70GHz
Prozentuale Nutzung des RAM: 33%
Installierter physikalischer RAM: 8082.86 MB
Verfügbarer physikalischer RAM: 5354.84 MB
Summe virtueller Speicher: 8281.03 MB
Verfügbarer virtueller Speicher: 5213.58 MB
==================== Laufwerke ================================
Drive c: () (Fixed) (Total:111.57 GB) (Free:67.55 GB) NTFS
Drive d: (24 Mai 2018) (CDROM) (Total:0.08 GB) (Free:0 GB) UDF
Drive f: () (Network) (Total:232.85 GB) (Free:27.82 GB) NTFS
==================== MBR & Partitionstabelle ==================
========================================================
Disk: 0 (Protective MBR) (Size: 111.8 GB) (Disk ID: 00000000)
Partition: GPT.
==================== Ende von Addition.txt ============================
Code:
Emsisoft Anti-Malware Trial 2018.5.0.8686 stable [de-de]
OS: Windows 7 Service Pack 1 (Version 6.1, Build 7601, 64-bit Edition)
Forensics log
Datum Komponente Aktion Details
22.06.2018 15:43:49 Verhaltensanalyse Fund Verdächtiges Verhalten "FirewallModification" von "FRST64.exe" -> Benachrichtigung-> Warnhinweis -> Immer vom Nutzer erlaubt
22.06.2018 08:53:38 Verhaltensanalyse Fund Verdächtiges Verhalten "Spyware" von "rvg_sql.exe" -> Benachrichtigung-> Warnhinweis -> Immer vom Nutzer erlaubt
22.06.2018 08:14:19 Verhaltensanalyse Fund Verdächtiges Verhalten "Spyware" von "Term_sql.exe" -> Von Community erlaubt
21.06.2018 23:52:56 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "8BEB5E76.exe" -> Von Regel unter Qurantäne
21.06.2018 21:27:17 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "dQ7UdA.exe" -> Von Regel unter Qurantäne
21.06.2018 21:19:53 Verhaltensanalyse Fund Verdächtiges Verhalten "FirewallModification" von "FRST64.exe" -> Benachrichtigung-> Warnhinweis -> Immer vom Nutzer erlaubt
21.06.2018 21:12:21 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "AUppoFcamwLwgYbGm.exe" -> Von Regel unter Qurantäne
21.06.2018 20:57:54 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "pfa0mu.exe" -> Von Regel unter Qurantäne
21.06.2018 20:43:01 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "3oWGtjdQ7Y.exe" -> Von Regel unter Qurantäne
21.06.2018 20:28:34 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "MOMEgi0iox.exe" -> Von Regel unter Qurantäne
21.06.2018 20:13:42 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "tfhUJq6di6y4ydYGL.exe" -> Von Regel unter Qurantäne
21.06.2018 19:59:16 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "UsfUVZn7.exe" -> Von Regel unter Qurantäne
21.06.2018 19:44:43 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "xmxKBl4m3NociEXfd.exe" -> Von Regel unter Qurantäne
21.06.2018 19:29:47 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "meOMchC81N.exe" -> Von Regel unter Qurantäne
21.06.2018 19:15:00 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "0SizLxJxvNTX0.exe" -> Von Regel unter Qurantäne
21.06.2018 19:00:17 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "URQkCu.exe" -> Von Regel unter Qurantäne
21.06.2018 18:45:35 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "ABKbcHGdSx.exe" -> Von Regel unter Qurantäne
21.06.2018 18:30:55 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "TNDepWOQWNU5O4g5DF.exe" -> Von Regel unter Qurantäne
21.06.2018 18:16:16 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "6BygYZsARri4O.exe" -> Von Regel unter Qurantäne
21.06.2018 18:01:16 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "WTjg2c.exe" -> Von Regel unter Qurantäne
21.06.2018 17:46:47 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "SPZm.exe" -> Von Regel unter Qurantäne
21.06.2018 17:32:13 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "ep5PLqUVnZ1hbycQBSf.exe" -> Von Regel unter Qurantäne
21.06.2018 17:17:16 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "ykQPs.exe" -> Von Regel unter Qurantäne
21.06.2018 17:02:47 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "TKIB.exe" -> Von Regel unter Qurantäne
21.06.2018 16:48:13 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "71XB0.exe" -> Von Regel unter Qurantäne
21.06.2018 16:33:17 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "CsL1gp1NfjWVx8lf.exe" -> Von Regel unter Qurantäne
21.06.2018 16:18:31 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "egamPhJJWx.exe" -> Von Regel unter Qurantäne
21.06.2018 16:03:27 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "PCDrzCRT3Y.exe" -> Von Regel unter Qurantäne
21.06.2018 15:48:35 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "pnKMctocr.exe" -> Von Regel unter Qurantäne
21.06.2018 15:38:46 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "8BEB5E76.exe" -> Von Regel unter Qurantäne
21.06.2018 15:30:00 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "DLu0d6wzuV31J.exe" -> Von Regel unter Qurantäne
21.06.2018 15:15:07 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "GhrC.exe" -> Von Regel unter Qurantäne
21.06.2018 15:00:26 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "vDfz9s9kZ29xZlvBm.exe" -> Von Regel unter Qurantäne
21.06.2018 14:49:40 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "0oqwj.exe" -> Von Regel unter Qurantäne
21.06.2018 14:35:09 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "wrcJH.exe" -> Von Regel unter Qurantäne
21.06.2018 14:20:15 Dateiwächter Fund Gefunden "Trojan.Emotet (A)" in "BdUyIbLWX9U.exe" -> Von Regel unter Qurantäne
21.06.2018 10:00:02 Verhaltensanalyse Fund Verdächtiges Verhalten "CodeInjector" von "seGet7H.exe" -> Benachrichtigung-> Von Benutzer in Quarantäne
21.06.2018 07:28:39 Verhaltensanalyse Fund Verdächtiges Verhalten "Spyware" von "NoRADesktop.exe" -> Benachrichtigung-> Von Benutzer in Quarantäne
Code:
Malwarebytes
www.malwarebytes.com
-Protokolldetails-
Scan-Datum: 22.06.18
Scan-Zeit: 06:02
Protokolldatei: 1fd257b2-75d1-11e8-8bc1-4ccc6a02cbc6.json
Administrator: Ja
-Softwaredaten-
Version: 3.5.1.2522
Komponentenversion: 1.0.374
Version des Aktualisierungspakets: 1.0.5578
Lizenz: Testversion
-Systemdaten-
Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: System
-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 346845
Erkannte Bedrohungen: 8
In die Quarantäne verschobene Bedrohungen: 8
Abgelaufene Zeit: 4 Min., 25 Sek.
-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung
-Scan-Details-
Prozess: 2
Generic.Malware/Suspicious, C:\WINDOWS\SYSWOW64\UTILMANSHARPEN.EXE, In Quarantäne, [0], [392686],1.0.5578
Generic.Malware/Suspicious, C:\WINDOWS\SYSWOW64\UTILMANSHARPEN.EXE, In Quarantäne, [0], [392686],1.0.5578
Modul: 2
Generic.Malware/Suspicious, C:\WINDOWS\SYSWOW64\UTILMANSHARPEN.EXE, In Quarantäne, [0], [392686],1.0.5578
Generic.Malware/Suspicious, C:\WINDOWS\SYSWOW64\UTILMANSHARPEN.EXE, In Quarantäne, [0], [392686],1.0.5578
Registrierungsschlüssel: 2
Generic.Malware/Suspicious, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\utilmansharpen, In Quarantäne, [0], [392686],1.0.5578
Generic.Malware/Suspicious, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\utilmansharpen, In Quarantäne, [0], [392686],1.0.5578
Registrierungswert: 0
(keine bösartigen Elemente erkannt)
Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)
Daten-Stream: 0
(keine bösartigen Elemente erkannt)
Ordner: 0
(keine bösartigen Elemente erkannt)
Datei: 2
Generic.Malware/Suspicious, C:\WINDOWS\SYSWOW64\UTILMANSHARPEN.EXE, In Quarantäne, [0], [392686],1.0.5578
Generic.Malware/Suspicious, C:\WINDOWS\SYSWOW64\UTILMANSHARPEN.EXE, In Quarantäne, [0], [392686],1.0.5578
Physischer Sektor: 0
(keine bösartigen Elemente erkannt)
WMI: 0
(keine bösartigen Elemente erkannt)
(end)
|
So funktioniert es:
FRST 32-Bit | FRST 64-Bit